美好的一天。
我有一个使用Google跟踪代码管理器的网站,按照官方指南(https://developers.google.com/tag-manager/quickstart)成功实施,包括步骤2中建议的片段:
<!-- Google Tag Manager (noscript) -->
<noscript><iframe src="https://www.googletagmanager.com/ns.html?id=GTM-XXXX"
height="0" width="0" style="display:none;visibility:hidden"></iframe></noscript>
<!-- End Google Tag Manager (noscript) -->
接近主模板的<body>元素的末尾,应该是。
现在,咨询机构已建议我为sandbox元素添加iframe属性,以加强整体网站安全性,以及其他一系列建议。
虽然我认为我明白了iframe sandbox属性值及其后果,但我希望有人能够了解它在固定的,可信赖的iframe环境中的好处源代码和 noscript 元素(在技术上不执行脚本)的上下文中,特别是在安全性方面。还请解释您认为在这种特定背景下可能适用的值(如果有的话)。
参考sandbox属性值:https://developer.mozilla.org/en-US/docs/Web/HTML/Element/iframe#attr-sandbox
我已经搜索过这个问题,但没有找到关于此特定问题的参考资料。
提前谢谢。
答案 0 :(得分:1)
由于在javascript可用时未呈现noscript个部分,因此没有安全性影响。 iframe的安全性重要性(如果存在的话)也是有限的,因为您将从同一网站添加一个实际脚本,该脚本具有页内代码,可以并且确实从您的来源向页面添加内容以及添加其他iframe取决于您的容器配置。
理论上,这可以通过在iframe中模仿您的网站或运行JS来阻止Google(或可能对您的容器内容进行专门更改)。但是样式隐藏了它,客户端可能不允许只在子iframe中使用JS,除非它们具有特定于域的JS阻塞规则。
他们不了解这个属性。
sandbox的影响。noscript代码段的内容过于具体定位并失败。